Titolo originale: “Christmas Heist | Analysis of Trust Wallet Extension Wallet Hack”
Fonte: SlowMist Technology
Contesto
Nelle prime ore di questa mattina, ora di Pechino, @zachxbt ha pubblicato un messaggio nel canale affermando: ‘Alcuni utenti di Trust Wallet hanno segnalato che i fondi nei loro indirizzi wallet sono stati rubati nelle ultime ore.’ Successivamente, l’account X ufficiale di Trust Wallet ha rilasciato un annuncio ufficiale confermando che la versione 2.68 dell’estensione browser di Trust Wallet presenta un rischio per la sicurezza, esortando tutti gli utenti della versione 2.68 a disabilitare immediatamente quella versione e ad aggiornare alla versione 2.69.
Tattiche Tecniche
Dopo aver ricevuto le informazioni, il team di sicurezza di SlowMist ha prontamente analizzato i campioni rilevanti. Confrontiamo prima il codice principale delle versioni precedentemente rilasciate 2.67 e 2.68:
Confrontando il codice delle due versioni, il codice dannoso aggiunto dall’hacker è stato identificato come segue:
Il codice dannoso itera attraverso tutti i wallet nell’estensione, invia una richiesta ‘recupera frase seed’ per ogni wallet utente per ottenere la frase seed crittografata e infine la decrittografa utilizzando la password o la passkeyPassword inserita dall’utente durante lo sblocco del wallet. Se la decrittazione ha successo, la frase seed dell’utente viene inviata al dominio dell’attaccante `api.metrics-trustwallet[.]com`.
Abbiamo anche analizzato le informazioni del dominio dell’attaccante; l’attaccante ha utilizzato il dominio: metrics-trustwallet.com.
Dopo aver effettuato una query, il dominio dannoso è stato registrato il 2025-12-08 02:28:18, con il registrar di dominio: NICENIC INTERNATIONA.
Il 2025-12-21, hanno iniziato ad apparire i primi record di richiesta rivolti a api.metrics-trustwallet[.]com:
Questa cronologia è strettamente allineata con la data di impianto della backdoor del 22.12 nel codice.
Abbiamo continuato a tracciare e analizzare il codice per ricostruire l’intero processo di attacco:
L’analisi dinamica mostra che dopo lo sblocco del wallet, le informazioni della frase seed dell’attaccante possono essere viste popolate nell’errore all’interno di R1.
La fonte di questi dati di errore è ottenuta tramite una chiamata alla funzione GET_SEED_PHRASE. Attualmente, Trust Wallet supporta due metodi di sblocco: password e passkeyPassword. L’attaccante ottiene la password o la passkeyPassword durante lo sblocco, quindi chiama GET_SEED_PHRASE per recuperare la frase seed del wallet (le chiavi private sono gestite in modo simile) e inserisce la frase seed nel ‘errorMessage’.
Di seguito è riportato il codice che utilizza emit per chiamare GetSeedPhrase, recupera i dati della frase seed e li popola nell’errore.
L’analisi del traffico condotta con BurpSuite mostra che dopo aver ottenuto la frase seed, essa viene incapsulata nel campo errorMessage del corpo della richiesta e inviata al server dannoso (https[://]api[.]metrics-trustwallet[.]com), il che è coerente con l’analisi precedente.
Attraverso il processo sopra descritto, il furto delle frasi seed/private keys è completato. Inoltre, è probabile che l’attaccante abbia familiarità con il codice sorgente dell’estensione, sfruttando la piattaforma di analisi dei prodotti open-source a catena completa PostHogJS per raccogliere informazioni sui wallet degli utenti.
Analisi delle Risorse Rubate
(https://t.me/investigations/296)
Sulla base degli indirizzi hacker divulgati da ZachXBT, le nostre statistiche mostrano che, al momento della stesura, le risorse totali rubate sulla catena Bitcoin ammontano a circa 33 BTC (valore di circa 3 milioni di USD), le risorse rubate sulla catena Solana sono valutate a circa 431 USD e le risorse rubate sulla mainnet di Ethereum e varie catene Layer 2 valgono circa 3 milioni di USD. Dopo aver rubato le risorse, l’hacker le ha trasferite e scambiate in parte utilizzando vari exchange centralizzati e cross-chain bridges.
Riepilogo
Questo incidente di backdoor ha avuto origine da modifiche dannose al codice sorgente del repository di codice interno dell’estensione Trust Wallet (logica del servizio di analisi), piuttosto che dall’introduzione di pacchetti di terze parti generali manomessi (come pacchetti npm dannosi). L’attaccante ha manomesso direttamente il codice dell’applicazione stessa, sfruttando la libreria legittima PostHog per reindirizzare i dati di analisi a un server dannoso. Pertanto, abbiamo motivo di ritenere che si tratti di un sofisticato attacco APT, e l’attaccante potrebbe aver ottenuto il controllo sui permessi dei dispositivi degli sviluppatori correlati a Trust Wallet o sui permessi di distribuzione delle release prima dell’8 dicembre.
Raccomandazioni:
1. Se hai installato l’estensione wallet di Trust Wallet, dovresti immediatamente disconnetterti da Internet come prerequisito per le indagini e le operazioni.
2. Esporta immediatamente le tue chiavi private/frase seed e disinstalla l’estensione wallet di Trust Wallet.
3. Dopo aver eseguito il backup delle tue chiavi private/frase seed, trasferisci prontamente i tuoi fondi in un altro wallet il prima possibile.
